CISCO ASA 如何选择出接口

CISCO路由器什么时候路由优先,什么时候NAT优先可能大家都知道,INSIDE进先路由,OUTSIDE进先NAT。

好了,那么对于CISCO ASA却不是这样的情况,大部分上还是先查找路由如果数据从inside进,在两种情况下NAT会优先路由去确认出接口。

  1. 做了目的NAT转换
  2. static NAT session存在

知道这个功能后,我们再来看下如下两个CASE

  1. CISCO ASA虽然没有PBR功能,但是依然能做到双线分流
  2. ASA 8.3以上版本做了L2L VPN后无法通过隧道管理防火墙,即管理inside接口

针对第一个问题,设计如下拓扑解释下

ASA接口outside IP 200.1.1.1电信,设置默认路由为主 route outside 0 0 200.1.1.2

ASA接口backup IP 200.2.2.1联通,设置默认路由为备份 route backup 0 0 200.2.2.2 100

ASA接口inside IP 192.168.1.1作为内网接入

需求:内网访问HTTP/HTTPS/DNS/FTP走联通,其他包括VPN全部走电信

首先设置内网上网:

nat (inside) 1 0 0 

global (outside) 1 interface

global(backup) 1 interface

access-list outside_access_in permit icmp any any echo-reply

access-list backup_access_in permit icmp any any echo-reply

access-group outside_access_in in interface outside

access-group backup_access_in in interface backup

接下来通过NAT来区分内网数据该走哪个接口出去,而不是通过路由来选择,因为这时候路由表里只存在电信的默认路由,联通由于优先级高而不在路由表中!

static (backup,inside) tcp 0.0.0.0 80 0.0.0.0 80

static (backup,inside) tcp 0.0.0.0 443 0.0.0.0 443

static (backup,inside) tcp 0.0.0.0 21 0.0.0.0 21

static (backup,inside) tcp 0.0.0.0 53 0.0.0.0 53

static (backup,inside) udp 0.0.0.0 53 0.0.0.0 53

这些语句表明来自inside需访问的HTTP/HTTPS/21/53全部通过backup来转换目的,这就满足了我上面说的条件1,那么这时候inside数据就不看路由表,直接通过这个NAT语句知道出接口是backup而不是正常情况下的outside!

这样就实现了链路带宽不均等而负载,有兴趣童鞋可以通过packet-tracer来看下数据包是怎么个流程,是不是优先通过NAT来判定出接口。

针对第二问题

大家都知道两台ASA做了L2L VPN后再加上management-access inside就可以在本端内网telnet或者ssh远程管理对端ASA的inside接口。同样的配置如果做在8.3以上版本上你会发现行不通,原因也是因为NAT优先路由。通过一个案例来解释下

192.168.1.0----inside ASA1 outside 200.1.1.1-----ISP----200.2.2.1 outside ASA2 inside 192.168.2.1

如上拓扑,如果ASA8.3版本以前identity nat默认就是查路由的,但是在8.3以后默认是查NAT。

ASA1的192.168.1.0访问192.168.2.1,数据包到ASA2后先通过NAT确认出接口是inside,然后数据包将会一直发到192.168.2.0的局域网里去并不会回包。

所以当我们做了8.3以上版本VPN时需要管理对端ASA设备,需要在identity nat后加上route-lookup关键字让它优先查找路由。

KINGJUNIPER

时间: 2024-11-05 17:22:02

CISCO ASA 如何选择出接口的相关文章

Cisco路由交换CCNP中级课程-实验2:静态路由下一跳与出接口配置

实验环境介绍:52LAB自主设计制作的实验操作环境以及实验要求,方便CCNP学习者系统性的学习和实验操作,提高学习效率,降低学习成本. 实验要求:1.按照拓扑图上显示信息给每台路由器配置主机名和IP地址:2.52LAB-1路由器上不要配置任何路由协议:3.52LAB-2路由器到172.16.2.0/24网络使用静态路由(使用出接口配置):4.52LAB-4路由器配置静态默认路由协议:5.测试a:52LAB-1与52LAB-2路由器分别ping 52LAB-4路由器(记录测试结果):6.关闭52L

Cisco ASA基础(一)

今天介绍一下目前Cisco ASA 5500系统常见的六种型号: ASA首先是一个状态化防火墙,用于维护一个关于用户信息的连接表,称为Conn表.表的关键信息:状态化防火墙进行状态化处理的过程:①:pc向web服务器发送一个HTTP请求:②:HTTP请求到达防火墙,防火墙将连接信息添加到Conn表中:③:防火墙将HTTP请求转发给web服务器.流量返回时,状态化防火墙处理的过程如下所述:①:web服务器相应HTTP请求,返回相应的数据流量:②:防火墙拦截该流量,检查其连接信息:如果在Conn表中

Cisco ASA防火墙实现远程访问虚拟专用网——Easy虚拟专用网(解决出差员工访问内网的问题)

在Cisco ASA防火墙上配置远程访问虚拟专用网(Easy 虚拟专用网)原理和路由器一样,对Easy 虚拟专用网原理不清楚的朋友可以参考博文Cisco路由器实现远程访问虚拟专用网--Easy虚拟专用网(解决出差员工访问内网的问题) 在路由器上配置和在防火墙上配置终归还是会区别的.这里就直接开始配置了,不再详细的介绍了! 在防火墙上实现IPSec 虚拟专用网技术可以参考博文Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!! 一.案例环境 由于模拟器的原因,导致防火墙不能和终端设备相

cna(Cisco Network Assistant)选择device manager时显示“无法显示该网页”

cna(Cisco Network Assistant)选择device manager时显示“无法显示该网页” 只要将弹出的网址中.html前的_zh-CN删除即可 若网址为http://10.1.1.1/flash0:ccpexp/html/ccpExpress_zh-CN.html 改为http://10.1.1.1/flash0:ccpexp/html/ccpExpress.html即可

cisco ASA ios升级或恢复

cisco ASA ios升级或恢复 一.升级前准备工作 1.准备好所要升级的IOS文件及对应的ASDM文件 2.在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2) 二.升级步骤 1.telnet上ASA ASA>en                  //进入特权模式 ASA#conft                 //进入配置模式 2.查看ASA上的文件.版本信息及启动文件 ASA(config)#dir           //查看asa上

Cisco ASA使用证书加密

使用ASDM配置HTTPS证书加密anyconnect连接 一.在没有使用证书的情况下每次连接VPN都会出现如下提示 命令 在 ASA 上,可以在命令行中使用若干 show 命令以验证证书的状态. show crypto ca certificates命令用于查看关于您的证书.CA证书和所有注册机关(RA)证书的信息. 命令 show crypto ca trustpoints 用于验证信任点配置. 命令 show crypto key mypubkey rsa 用于显示 ASA 的 RSA 公

Cisco ASA 高级配置

Cisco ASA 高级配置 一.防范IP分片攻击 1.Ip分片的原理: 2.Ip分片的安全问题: 3.防范Ip分片. 这三个问题在之前已经详细介绍过了,在此就不多介绍了.详细介绍请查看上一篇文章:IP分片原理及分析. 二.URL过滤 利用ASA防火墙IOS的特性URL过滤可以对访问的网站域名进行控制,从而达到某种管理目的. 实施URL过滤一般分为以下三个步骤: (1) 创建class-map (类映射),识别传输流量. (2) 创建policy-map (策略映射),关联class-map.

CISCO ASA NAT 回流解决方案

实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问. JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似. 假想拓扑如下: ASA内网网段192.

cisco ASA 8.4(5)服务端口转发配置及天融信,USG配置图示

cisco ASA 8.4(5)服务端口转发配置及天融信,USG配置图示 北京最热的日子,被人邀请调试一个ASA5540.需求很简单,十来个人上网,另外就是VMware对外服务,也就是TCP443,TCP8443以及邪恶的4172. 因为运营商对WWW,https等服务进行了限制,需要另外申请,为了方便所以朋友希望将https转换为TCP8888(这是多想发财啊). 下面就是配置,因为版本不同找了一些资料,都不全,所以笔者将全过程记录方便大家提出批评. 第一步: 建立内网IP object ob